Una nuova variante di Mirai sfrutta una vulnerabilità nei NAS Zyxel

23/03/2020

botnet CVE-2020-9054 zyxel

I ricercatori di Palo Alto Networks hanno pubblicato una ricerca riguardante un PoC relativo ad una vulnerabilità presente nei NAS di Zyxel, alla quale è stato associato il CVE-2020-9054, e che sfruttata con successo potrebbe consentire l’esecuzione di codice da remoto (RCE).

L’exploit individuato ha veicolato una nuova variante di Mirai denominata “Mukashi”.

Come indicato dal produttore nel suo bollettino i firmware coinvolti sono i seguenti:

  • NAS326 Available now. Firmware V5.21(AAZF.7)C0
  • NAS520 Available now. Firmware V5.21(AASZ.3)C0
  • NAS540 Available now. Firmware V5.21(AATB.4)C0
  • NAS542 Available now. Firmware V5.21(ABAG.4)C0
  • ATP100 Available now. Firmware V4.35(ABPS.3)C0
  • ATP200 Available now. Firmware V4.35(ABFW.3)C0
  • ATP500 Available now. Firmware V4.35(ABFU.3)C0
  • ATP800 Available now. Firmware V4.35(ABIQ.3)C0
  • USG20-VPN Available now. Firmware V4.35(ABAQ.3)C0
  • USG20W-VPN Available now. Firmware V4.35(ABAR.3)C0
  • USG40 Available now. Firmware V4.35(AALA.3)C0
  • USG40W Available now. Firmware V4.35(AALB.3)C0
  • USG60 Available now. Firmware V4.35(AAKY.3)C0
  • USG60W Available now. Firmware V4.35(AAKZ.3)C0
  • USG110 Available now. Firmware V4.35(AAPH.3)C0
  • USG210 Available now. Firmware V4.35(AAPI.3)C0
  • USG310 Available now. Firmware V4.35(AAPJ.3)C0
  • USG1100 Available now. Firmware V4.35(AAPK.3)C0
  • USG1900 Available now. Firmware V4.35(AAPL.3)C0
  • USG2200 Available now. Firmware V4.35(ABAE.3)C0
  • VPN50 Available now. Firmware V4.35(ABHL.3)C0
  • VPN100 Available now. Firmware V4.35(ABFV.3)C0
  • VPN300 Available now. Firmware V4.35(ABFC.3)C0
  • VPN1000 Available now. Firmware V4.35(ABIP.3)C0
  • ZyWALL110 Available now. Firmware V4.35(AAAA.3)C0
  • ZyWALL310 Available now. Firmware V4.35(AAAB.3)C0
  • ZyWALL1100 Available now. Firmware V4.35(AAAC.3)C0

Analisi della botnet

L’exploit isolato dai ricercatori per reclutare bot cerca scaricare uno script nella directory tmp, eseguirlo e successivamente rimuovere le prove sul dispositivo attaccato.

Mukashi è una botnet che esegue la scansione della porta TCP 23 (utilizzata dal protocollo telnet) di host casuali, provando attacchi bruteforce utilizzando diverse combinazioni di credenziali predefinite e segnala il tentativo di accesso riuscito al proprio server C2. Come altre varianti di Mirai, anche Mukashi è in grado di ricevere comandi C2 e sferrare attacchi DDoS.

Conclusioni

Il CERT-PA raccomanda di provvedere all’aggiornamento del firmware già reso disponibile dal produttore. Lo stesso produttore ha messo a disposizione un link dove è possibile verificare se il NAS è affetto dalla vulnerabilità.

Una query su Shodan ha evidenziato circa 4,6 milioni di host che espongono la porta 23, di cui circa 118000 localizzati in Italia.

Altra azione di mitigazione può essere quella della chiusura della porta 23 se non strettamente necessaria.